0x01 过滤器

1. 身份认证过滤器AuthenticationFilter，是请求处理的第一步，所以也是最先被执行的过滤器。采用的是质询 -> 应答形式，认证方发出质询要被认证方提供用户凭证，而被认证方则提供相应凭证作为应答。

2. 想使用AuthenticationFilter过滤器需继承IAuthenticationFilter接口，重写OnAuthentication方法，星主改写此方法实现虚拟webshell，通过GlobalFilterCollection注册新实例，注册成功后访问任意存在的URL均可触发命令执行。

3. 使用场景：星球里已经将工具分享给大伙，.NET MVC是前置必要的条件，访问/dotnetofAuthenticationFilter.aspx，删除该文件后访问任意存在的地址如 /?content=dGFza2xpc3Q=

星球优惠劵

原价￥129当前只需￥99， 以后星球价格只会越来越高，对.NET安全关注的师傅们动动手加入我们吧！

dotNet安全矩阵知识星球 — 聚焦于微软.NET安全技术，关注基于.NET衍生出的各种红蓝攻防对抗技术、分享内容不限于 .NET代码审计、 最新的.NET漏洞分析、反序列化漏洞研究、有趣的.NET安全Trick、.NET开源软件分享、. NET生态等热点话题、还可以获得阿里、蚂蚁、字节等大厂内推的机会。

原文始发于微信公众号（dotNet安全矩阵）：主题分享 | .NET MVC 利用AuthenticationFilter过滤器实现虚拟 WebShell